Questions d'ordre général

Qu'est-ce qu'AWS Single Sign-On (AWS SSO) ?

AWS SSO est un service AWS qui vous permet d'utiliser les informations d'identification existantes de votre annuaire Microsoft Active Directory pour accéder à vos applications basées sur le cloud, telles que vos comptes AWS et vos applications métier (Office 365, Salesforce et Box), à l'aide de l'authentification unique (SSO).

Quels sont les avantages d'AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder et gérer rapidement et facilement l'accès de vos employés à plusieurs comptes AWS, à des applications SAML basées sur le cloud (par ex., Salesforce, Office 365 et Box) et à des applications internes conçues sur mesure, le tout depuis un seul et même endroit. Les employés peuvent gagner en productivité en se connectant à l'aide de leur nom d'utilisateur et de leur mot de passe Active Directory d'entreprise pour accéder à leurs applications depuis leur portail utilisateur personnalisé. Désormais, les employés n'ont plus besoin de mémoriser plusieurs jeux d'informations d'identification ni les URL d'accès aux applications cloud. De plus, les nouveaux employés sont productifs dès le premier jour. Lorsque vous avez ajouté des utilisateurs au groupe Active Directory approprié, ceux-si ont automatiquement accès aux comptes et applications activés pour les membres du groupe. Vous bénéficiez d'une meilleure visibilité sur l'utilisation des applications cloud, car vous pouvez surveiller et vérifier les activités de connexion de façon centralisée depuis AWS CloudTrail.

Quels sont les problèmes résolus par AWS SSO ?

AWS SSO élimine la complexité administrative des solutions d'authentification unique (SSO) personnalisées que vous utilisez pour allouer et gérer les identités entre les comptes AWS et les applications métier. Lorsque vous utilisez plusieurs comptes AWS et que vous ajoutez des comptes régulièrement, la configuration de SSO avec Active Directory Federation Services (AD FS) pour accéder à ces comptes nécessite l'apprentissage du langage de programmation personnalisé basé sur les revendications AD FS. Vous devez également préparer les comptes AWS avec les autorisations nécessaires pour pouvoir accéder à ces comptes. AWS SSO est disponible sans frais supplémentaires et réduit la complexité liée à la configuration répétitive et à la gestion disparate en s'intégrant étroitement à AWS. Si vous utilisez des mots de passe distincts pour accéder à différents comptes AWS ou différentes applications cloud, AWS SSO simplifie l'expérience utilisateur et améliore la sécurité en éliminant les mots de passe individuels nécessaires pour chaque compte AWS ou application métier basée sur le cloud. Le service résout également le problème de la visibilité limitée de l'accès à vos applications cloud en s'intégrant à AWS CloudTrail et en fournissant un seul emplacement pour vous permettre de contrôler l'accès par authentification unique (SSO) aux comptes AWS et aux applications SAML basées sur le cloud, telles qu'Office 365, Salesforce et Box.

Pourquoi utiliser AWS SSO ?

Nous vous recommandons d'utiliser AWS SSO pour aider vos employés à gagner en productivité rapidement en leur accordant un accès aux comptes AWS et aux applications métier basées sur le cloud, sans écrire de scripts personnalisés ni investir dans des solutions SSO universelles. Nous vous conseillons également d'utiliser AWS SSO pour réduire la complexité administrative et le coût de configuration et de gestion de l'accès par authentification unique (SSO).

AWS SSO permet à vos employés d'accéder à vos comptes AWS et aux applications dont ils ont besoin dans le cadre de leur travail depuis le portail utilisateur AWS SSO, peu importe où ces applications ont été créées et où elles sont hébergées.

Que puis-je faire avec AWS SSO ?

Vous pouvez utiliser AWS SSO pour accorder rapidement et facilement à vos employés un accès à des comptes AWS gérés à l'aide d'AWS Organizations, à des applications métier basées sur le cloud (par ex., Salesforce, Office 365 et Box) et à des applications personnalisées prenant en charge le protocole SAML (Security Assertion Markup Language) 2.0. Les employés peuvent se connecter à l'aide de leur nom d'utilisateur et de leur mot de passe d'entreprise pour accéder à leurs applications métier depuis un portail utilisateur unique. AWS SSO vous permet également de contrôler l'accès des utilisateurs aux services de cloud à l'aide d'AWS CloudTrail.

À qui s'adresse AWS SSO ?

AWS SSO s'adresse aux administrateurs qui gèrent plusieurs comptes AWS et applications métier, qui souhaitent gérer de façon centralisée l'accès des utilisateurs à ces services de cloud et qui désirent mettre à disposition des employés un endroit unique pour leur permettre d'accéder à ces comptes et applications sans qu'ils aient besoin de mémoriser un nouveau mot de passe.

Comment démarrer avec AWS SSO ?

En tant que nouveau client d'AWS SSO, vous devez suivre la procédure suivante :

  1. Connectez-vous à AWS Management Console depuis le compte principal de votre compte AWS et accédez à la console AWS SSO.
  2. Sélectionnez l'annuaire que vous utilisez pour stocker les identités de vos utilisateurs et groupes depuis la console AWS SSO en cliquant sur la liste des instances Active Directory et Active Directory Connector qu'AWS SSO découvre automatiquement dans votre compte. Si vous n'avez pas configuré d'annuaire, consultez la section relative à la mise en route.
  3. Accordez aux utilisateurs un accès par authentification unique (SSO) aux comptes AWS de votre organisation en sélectionnant les comptes AWS dans une liste pré-remplie par AWS SSO, puis en choisissant les utilisateurs ou groupes dans votre annuaire, ainsi que les autorisations que vous souhaitez leur accorder. 
  4. Accordez aux utilisateurs un accès aux applications métier basées sur le cloud en :
    1. Sélectionnant l'une des applications dans la liste des applications pré-intégrées prises en charge dans AWS SSO ;
    2. Configurant l'application en suivant les instructions appropriées ;
    3. Sélectionnant les utilisateurs ou groupes qui doivent pouvoir accéder à cette application.
  5. Communiquez à vos employés l'adresse Web de connexion à AWS SSO qui a été générée lors de la connexion de l'annuaire afin qu'ils puissent se connecter à AWS SSO en utilisant leur nom d'utilisateur et leur mot de passe Active Directory, et ainsi accéder aux comptes et applications métier.

Combien coûte AWS SSO ?

AWS SSO est disponible sans frais supplémentaires.

Dans quelles régions AWS le service AWS SSO est-il disponible ?

Pour connaître la disponibilité d'AWS SSO par région, consultez le tableau des régions AWS.

Prise en charge des annuaires et applications

Quels annuaires puis-je utiliser avec AWS SSO ?

Vous pouvez connecter AWS SSO à Microsoft Active Directory, en procédant à une exécution sur site ou dans le cloud AWS. AWS SSO prend en charge AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, ainsi que le connecteur AD. AWS SSO ne prend pas en charge Simple AD. Pour en savoir plus, consultez la page relative à la mise en route d'AWS Directory Service.

Puis-je utiliser les groupes d'utilisateurs Amazon Cognito en tant que répertoire connecté dans AWS SSO ?

Pas à l'heure actuelle. À l'heure actuelle, AWS SSO prend uniquement en charge Microsoft Active Directory en tant que répertoire utilisateur. D'autres types de répertoires seront éventuellement ajoutés au fil du temps en fonction des commentaires et des demandes des clients.

Quelles applications basées sur le cloud puis-je connecter à AWS SSO ?

Vous pouvez connecter les applications suivantes à AWS SSO :

  1. AWS Management Console : vous pouvez configurer un accès par authentification unique (SSO) à AWS Management Console.
  2. Applications SaaS tierces : AWS SSO pré-intègre des applications métier couramment utilisées. Pour obtenir la liste complète des applications, reportez-vous à la console AWS SSO.
  3. Applications SAML personnalisées : AWS SSO prend en charge les applications qui autorisent la fédération d'identité à l'aide du protocole SAML 2.0. Pour les applications qui ne sont pas pré-intégrées à AWS SSO, vous pouvez configurer l'authentification unique (SSO) à l'aide de l'assistant de configuration des applications personnalisées AWS SSO.

Je gère des utilisateurs et des groupes dans un annuaire Active Directory sur site. Comment connecter mon annuaire à AWS SSO ? 

Pour connecter un annuaire Active Directory hébergé sur site à AWS SSO, deux possibilités s'offrent à vous : (1) utiliser une relation d'approbation AWS Managed Microsoft AD ou (2) utiliser le connecteur AD.

AWS Managed Microsoft AD crée un annuaire Active Directory entièrement géré dans le cloud AWS et peut permettre de configurer une relation d'approbation interforêt entre votre annuaire sur site et AWS Managed Microsoft AD. Pour configurer une relation d'approbation, consultez la section relative à la création d'une relation d'approbation.

Le connecteur AD est une passerelle d'annuaire qui peut rediriger des demandes d'annuaire vers votre annuaire Microsoft Active Directory sur site, sans mettre d'informations en cache dans le cloud. Pour connecter un annuaire sur site à l'aide d’AD Connector, consultez la section relative au AD Connector.

Je gère des utilisateurs et des groupes dans AWS Identity and Access Management (IAM). Puis-je connecter mon annuaire à AWS SSO ? 

AWS SSO ne prend pas en charge les utilisateurs et les groupes AWS IAM à l'heure actuelle.

Puis-je connecter plusieurs annuaires à AWS SSO ? 

Non. Un seul annuaire à la fois peut être connecté à AWS SSO. Cependant, vous pouvez changer d'annuaire comme bon vous semble.

Accès par authentification unique (SSO) à vos comptes AWS

Quels comptes AWS puis-je connecter à AWS SSO ?

Vous pouvez ajouter un compte AWS géré à AWS SSO en utilisant AWS Organizations. Vous devez activer toutes les fonctionnalités de vos organisations pour gérer vos comptes SSO.

Comment configurer SSO sur les comptes AWS d'une unité d'organisation (UO) au sein de mon organisation ?

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer des comptes par UO.

Comment contrôler les autorisations accordées aux utilisateurs lorsqu'ils accèdent à leur compte à l'aide de l'authentification unique (SSO) ?

Lorsque vous accordez un accès par authentification unique aux utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les ensembles d'autorisations sont un groupe d'autorisations que vous pouvez créer dans AWS SSO, en les modélisant sur la base de stratégies gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. AWS SSO applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, AWS SSO vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes via le portail utilisateur AWS SSO, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs ensembles d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte via le portail utilisateur, ils peuvent choisir l'autorisation dont ils souhaitent disposer pour cette session.

Pour quel compte AWS puis-je obtenir des informations d'identification pour l'interface de ligne de commande (CLI) AWS ?

Vous pouvez obtenir des informations d'identification pour la CLI AWS pour toutes les permissions de compte et d'utilisateur AWS que votre administrateur AWS SSO vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Combien de temps les informations d'identification de l'interface de ligne de commande AWS sont-elles valides pour le portail utilisateur d'AWS SSO ?

Les informations d'identification pour la CLI AWS récupérées par le portail utilisateur d'AWS SSO sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Accès par authentification unique (SSO) aux applications métier

Comment configurer l'authentification unique (SSO) sur les applications métier telles que Salesforce ?

Dans la console AWS SSO, accédez au volet des applications, choisissez « Configure new application » et sélectionnez une application dans la liste des applications cloud pré-intégrées à AWS SSO. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon entreprise utilise des applications métier que ne figurent pas dans la liste des applications pré-intégrées à AWS SSO. Puis-je tout de même utiliser AWS SSO ?

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console AWS SSO, accédez au volet des applications et choisissez l'option « Configure new application », puis « Custom SAML 2.0 application ». Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » pour terminer le processus.

Mon application prend uniquement en charge le protocole OpenID Connect (OIDC). Puis-je configurer l'authentification unique (SSO) à l'aide d'AWS SSO ?

Non. AWS SSO prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Est-ce qu'AWS SSO prend en charge l'authentification unique pour les applications mobiles et de bureau natives ?

Non. AWS SSO prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur Web. 

Divers

Quelles données le service AWS SSO stockera-t-il en mon nom ?

AWS SSO stockera les données concernant l'attribution des comptes AWS et des applications cloud aux différents utilisateurs et groupes, ainsi que l'octroi des différentes autorisations d'accès aux comptes AWS. AWS SSO créera et gérera également les rôles IAM des comptes AWS individuels pour chaque ensemble d'autorisations auquel vous accordez l'accès aux utilisateurs.

Le service AWS SSO prend-il en charge l'authentification multi-facteurs (MFA) ? 

Oui. Vous pouvez exiger des utilisateurs qu'ils fournissent un facteur supplémentaire pour se connecter à AWS SSO en exploitant un serveur RADIUS (Remote Authentication Dial-In User Service) et en configurant ce dernier afin qu'il fonctionne avec Active Directory ou le connecteur AD.

Comment mes employés peuvent-ils faire leurs premiers pas avec AWS SSO ?

Vos employés peuvent démarrer avec AWS SSO en accédant au portail utilisateur AWS SSO qui est généré lorsque vous connectez votre annuaire à AWS SSO. Ils peuvent se connecter à l'aide de leur nom d'utilisateur et de leur mot de passe Active Directory, et consulter les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante depuis le portail utilisateur AWS SSO.

Existe-t-il une API pour AWS SSO ?

Non. Vous pouvez utiliser la console AWS SSO pour effectuer toutes les opérations nécessaires.

Je souhaiterais ajouter mon application métier dans AWS SSO en tant qu'intégration embarquée. Comment puis-je en savoir plus ?

Contactez-nous par e-mail pour en savoir plus.

Prêt à commencer ?

S'inscrire à AWS Single Sign-On
D'autres questions ?
Contactez-nous